เครื่องมือของ red team ใหม่ชื่อ EDRChoker ใช้ QoS ของ Windows ในการบีบแบนด์วิดท์ทำให้ EDR agent ไม่สามารถเชื่อมต่อระบบได้ ทำให้ไม่พบความผิดปกติของการโจมตีระบบ

เครื่องมือโอเพนซอร์ส red team ตัวใหม่ชื่อ EDRChoker เปิดเทคนิคใหม่ในการปิดการทำงาน EDR ที่เชื่อมต่อด้วยระบบคลาวด์ ไม่ใช่วิธีการ kill process หรือ Code Injection แต่ใช้วิธีบีบแบนด์วิดท์เครือข่ายของ process EDR ให้เหลือเกือบศูนย์ด้วย Policy-Based QoS ของ Windows ที่ 8 bps ทำให้ TLS handshake ทำไม่สำเร็จ ผลคือ EDR ตัดขาดจากเซิร์ฟเวอร์คลาวด์และไม่สามารถดำเนินการทำงานตามปกติได้ เทคนิคนี้ทำงานผ่าน pacer.sys ที่อยู่ลึกกว่าระดับ WFP ในสแตกเครือข่าย ทำให้หลบ detection rule ที่ตรวจจับการบล็อกแบบ WFP ได้